Mindestvertragsinhalte des DORA: 3. Berichtspflichten
Cybersicherheit trifft auf Vertragsfreiheit: Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. Die Anforderungen nach DORA entsprechen zwar weitgehend den Vorgaben von EBA und MaRisk (AT 9). Ein genauer Blick offenbart jedoch Unterschiede, wie sich auch beim Thema Berichtspflichten zeigt.
EBA und MaRisk
Die EBA-Richtlinie und die MaRisk legen fest, dass Dienstleister verpflichtet sind, Finanzinstitute über jegliche Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen könnten. Diese Anforderungen zielen darauf ab, eine frühzeitige und angemessene Reaktion auf potenzielle Risiken und Probleme zu ermöglichen.
Gemäß EBA/GL/2019/02 Tz. 75j müssen Dienstleister die Finanzinstitute über alle Entwicklungen informieren, die ihre Fähigkeit beeinträchtigen könnten, kritische oder wesentliche Funktionen gemäß der vereinbarten Dienstleistungsgüte und den geltenden Gesetzen zu erfüllen.
Gemäß MaRisk AT 9 Tz. 7n sind Auslagerungsunternehmen verpflichtet, das Institut über Entwicklungen zu informieren, die die ordnungsgemäße Durchführung der ausgelagerten Aktivitäten und Prozesse gefährden könnten.
Durch diese Berichtspflichten soll sichergestellt werden, dass Finanzunternehmen stets über potenzielle Risiken informiert sind und entsprechend handeln können.
DORA
Der DORA fokussiert bei den Berichtspflichten auf die kritischen und wichtigen Funktionen. Nach Artikel 30 Abs. 3 (b) DORA müssen IKT-Drittdienstleister ihre Finanzunternehmen über alle Entwicklungen informieren, die ihre Fähigkeit zur Erbringung der IKT-Dienstleistungen gemäß den vereinbarten Leistungsniveaus beeinträchtigen könnten. Dies umfasst alle Änderungen, die sich wesentlich auf die Unterstützung kritischer oder wichtiger Funktionen auswirken könnten.
Fazit
Während EBA und MaRisk lediglich festlegen, dass eine ordnungsgemäße Erledigung der vereinbarten Dienstleistungen sicherzustellen ist, setzt DORA konkrete Vereinbarungen über Leistungsniveaus bei kritischen und wichtigen Funktionen voraus. Das hat zur Folge, dass Finanzunternehmen und IKT-Dienstleister bei diesen Funktionen zusätzliche Anforderungen erfüllen müssen, um den erhöhten Anforderungen an die betriebliche Resilienz gerecht zu werden.
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Bisher zu den Mindestvertragsinhalten des DORA erschienen:
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de